Ciljevi zaštite sigurnosti informacija su osnovne ključne tačke za zaštitu informacija. Informacije predstavljaju značajnu ekonomsku vrijednost za svaku kompaniju, i to ne samo od danas. To je temelj njihovog postojanja i stoga bitan preduslov za uspješno poslovanje. Stoga je očigledno – ili barem poželjno – da informacije moraju biti zaštićene. Međutim, još uvijek postoji veliki jaz između želje i stvarnosti.
Loading...
Šta su ciljevi zaštite sigurnosti informacija?
Zbog neadekvatne sigurnosti u obradi informacija, godišnje se pričini milijarde dolara štete. Ali kako se može postići adekvatna zaštita organizacione imovine? A koji je najbolji način da kompanija počne sa temom informacione sigurnosti?
Dobro strukturiran sistem upravljanja sigurnošću informacija (ISMS) prema ISO/IEC 27001 pruža optimalnu osnovu za efikasnu implementaciju holističke sigurnosne strategije. Standard daje model za uvođenje, implementaciju, praćenje i unaprijeđenje nivoa zaštite. Da bi se to postiglo, kompanije i organizacije prvo treba da se pozabave tri osnovna cilja zaštite informacione sigurnosti:
- Povjerljivost
- Integritet
- Dostupnost
Ciljevi zaštite sigurnosti informacija: Povjerljivost informacija
Cilj je zaštititi povjerljive podatke od neovlaštenog pristupa, bilo iz razloga zakona o zaštiti podataka ili na osnovu pokrivenih poslovnih tajni, npr. po Zakonu o poslovnoj tajni. Povjerljivost informacija i osjetljivih podataka je stoga osigurana ako im pristup imaju samo one osobe koje imaju ovlaštenje za to. Pristup znači, na primjer, čitanje, uređivanje (promjena) ili čak brisanje.
Poduzete mjere stoga moraju osigurati da pristup povjerljivim informacijama imaju samo ovlaštena lica – neovlaštena lica ni pod kojim okolnostima. Ovo se odnosi i na informacije na papiru, koje mogu nezaštićeno stajati na stolu i pozivati na čitanje, ili na prenos podataka kojima nije moguće pristupiti u toku njihove obrade.
Loading...
Naš Vodič za audit ISO 27001 - Aneks A kreirali su vodeći stručnjaci kao praktičnu pomoć u implementaciji i idealan je za bolje razumijevanje zahtjeva odabranih standarda. Smjernica je zasnovana na ISO/IEC 27001:2017, a revizija ISO standarda se očekuje do kraja 2022. godine.
Za ovlaštena lica potrebno je navesti i vrstu pristupa koja treba da imaju, šta smiju ili moraju da rade, a šta ne smiju. Mora se osigurati da ne mogu raditi ono što im nije dozvoljeno. Metode i tehnike koje se koriste u ovom procesu su različite, a u nekim slučajevima i specifične za kompaniju.
Ako se radi "samo" o neovlaštenom uvidu ili otkrivanju informacija (također prilikom prenosa, klasično: e-mail promet!), mogu se koristiti kriptografske mjere za zaštitu povjerljivosti, na primjer. Ako je cilj spriječiti neovlaštenu modifikaciju informacija, u igru dolazi cilj zaštite "integriteta".
ISO/IEC 27001:2022 - Sigurnost informacija, kibernetička sigurnost i zaštita privatnosti - Sistemi upravljanja sigurnošću informacija - Zahtjevi
Revidirani ISO standard je objavljen 25.10.2022. ISO/IEC 27001:2013 i dalje važi za prelazni period od tri godine do oktobra 2025.
Standard je dostupan na ISO web stranici.
Integritet informacija
Tehnički izraz integritet povezan je sa nekoliko zahtjeva odjednom:
- Nenamjerne promjene informacija moraju biti nemoguće, ili barem uočljive i sljedljive. U praksi se primjenjuje sljedeća gradacija:
- Visok (jak) integritet spriječava neželjene promjene.
- Nizak (slab) integritet možda neće spriječiti promjene, ali osigurava da (nenamjerne) promjene mogu biti otkrivene i, ako je potrebno, praćene (sljedivost). - Pouzdanost podataka i sistema mora biti zagarantovana.
- Potpunost informacija mora biti zagarantovana.
Mjere usmjerene ka povećanju integriteta informacija stoga su usmjerene i na pitanje autorizacije pristupa u sprezi sa zaštitom od eksternih i internih napada.
"Dok su riječi "povjerljivost" i "dostupnost" lako, gotovo same po sebi razumljive, u smislu klasičnih ciljeva zaštite sigurnosti informacija, tehnički izraz "integritet" zahtijeva određeno objašnjenje. Ono što se podrazumijeva je ispravnost (podataka i sistema), potpunost ili sljedivost (promjena).“
Dostupnost informacija
Dostupnost informacija znači da te informacije, uključujući potrebne IT sisteme, moraju biti dostupne bilo kojoj ovlaštenoj osobi u bilo koje vrijeme i upotrebljive (funkcionalne) u potrebnoj mjeri. Ako se sistem pokvari ili zgrada nije dostupna, potrebne informacije nisu dostupne. U određenim slučajevima to može dovesti do poremećaja sa dalekosežnim posljedicama, na primjer u održavanju procesa.
Stoga ima smisla izvršiti analizu rizika s obzirom na vjerovatnoću kvara sistema, njegovo moguće trajanje i bilo kakvu štetu uzrokovanu nedostatkom IT sigurnosti. Iz rezultata se mogu izvesti efikasne protumjere i izvršiti ako dođe do najgoreg.
Šta su "produženi" ciljevi zaštite?
Pored sigurnosnih ciljeva povjerljivosti, integriteta i dostupnosti, postoje tri dodatna sigurnosna cilja. To uključuje dva aspekta "predanosti" i "odgovornosti", koji se međusobno nadopunjuju. Prvo znači osigurati da akter ne može poreći svoju radnju, a drugo da mu se ta radnja može pouzdano pripisati. Oba se svode na jedinstvenu identifikaciju aktera, a izdavanje jedinstvenih lozinki je minimalni zahtjev za to.
Treći prošireni cilj zaštite je "autentičnost", tj. jednostavno pitanje u ovom kontekstu je: jesu li informacije autentične - da li zapravo dolaze iz navedenog izvora? Ovaj cilj zaštite je važan za procjenu pouzdanosti izvora.
Loading...
Informacija od vrijednosti je današnje zlato - i također imovina koju treba zaštititi za vašu kompaniju. Ovdje pročitajte odgovore na najvažnija pitanja o sigurnosti informacija.
Ciljevi zaštite sigurnosti informacija: Zaključak
Tri najvažnija cilja zaštite sigurnosti informacija su "povjerljivost", "integritet" i "dostupnost".
Povjerljivost: Da biste to mogli garantovati, morate jasno definisati ko je ovlašten za pristup ovim osjetljivim podacima i na koji način. Ovo je povezano s odgovarajućim autorizacijama pristupa i upotrebom kriptografskih tehnika, na primjer.
Integritet znači zaštitu od neovlaštenih promjena i brisanja informacija, plus pouzdanost i potpunost informacija. Stoga je važno da vaša kompanija preduzme mjere opreza kako bi brzo otkrila promjene podataka ili spriječila neovlaštenu manipulaciju iz temelja.
Dostupnost znači da informacije, sistemi i zgrade moraju biti dostupni ovlaštenim osobama u svakom trenutku. Budući da su sistemski kvarovi, na primjer, povezani sa velikim rizicima, za ovaj kompleks tema treba izvršiti analizu rizika. Ovdje zabilježite vjerovatnoću kvara, zastoje i potencijal oštećenja najpotrebnijih sistema.
Predanost, odgovornost i autentičnost su "prošireni" ciljevi zaštite.
Predanost podrazumijeva da osigurava da akter ne može poricati svoje radnje. Odgovornost dopunjuje ovaj prošireni cilj zaštite jasnim identificiranjem takvog aktera. Autentičnost postavlja pitanje: Da li je informacija originalna ili pouzdana?
DQS - Šta možete očekivati od nas
Informaciona sigurnost je složena tema koja nadilazi IT sigurnost. Uključuje tehničke, organizacione i infrastrukturne aspekte. Međunarodni standard ISO/IEC 27001 pogodan je za efikasne zaštitne mjere u obliku sistema upravljanja sigurnošću informacija (ISMS).
DQS je vaš stručnjak za audite i certifikaciju sistema upravljanja i procesa. Sa 35 godina iskustva i znanjem 2.500 auditora širom svijeta, mi smo vaš kompetentni partner za certifikaciju i pružamo odgovore na sva pitanja u vezi sa ISO 27001 i sistemima upravljanja sigurnošću informacija.
Loading...
Rado ćemo odgovoriti na vaša pitanja
Koliko truda trebate očekivati da vaš sistem upravljanja sigurnošću informacija bude certificiran prema ISO 27001? Saznajte. Bez obaveza i besplatno.
Povjerenje i ekspertiza
Naše tekstove i brošure pišu isključivo naši stručnjaci za standarde ili auditori sa dugogodišnjim iskustvom. Ako imate bilo kakva pitanja o tekstualnom sadržaju ili našim uslugama našem autoru, slobodno nam pošaljite e-mail.
DQS Bilten
Budite informisani i prijavite se na naš bilten!
Autor
André Saeckel
Proizvodni menadžer u DQS-u za upravljanje sigurnošću informacija. Kao expert za standarde za područje informatičke sigurnosti i kataloga IT sigurnosti (kritične infrastrukture), André Säckel odgovoran je za sljedeće standarde i standarde specifične za industriju, između ostalog: ISO 27001, ISIS12, ISO 20000-1, KRITIS i TISAX (informatička sigurnost u automobilskoj industriji). Takođe je član radne grupe ISO/IEC JTC 1/SC 27/WG 1 kao nacionalni delegat Njemačkog instituta za standardizaciju DIN.
Loading...